Taller Prácticas de análisis de código estático

Taller Prácticas de análisis de código estático

1.  Registrarte dando clic aquí
2. El día del 28 de mayo a las 08:00 AM ingresar dando clic aquí y seleccionar Inscreva-se, teclea tu usuario y contraseña y da clic en entrar.
3. Selecciona el idioma español.

Inicia el

Viernes, 27 Agosto, 2021 - 08:00

Termina el

Viernes, 27 Agosto, 2021 - 08:00

 

Contará con interpretación simultánea al español, solo debes:

1.  Registrarte dando clic aquí

2. El día del 17 de septiembre a las 08:00 AM ingresar dando clic aquí y seleccionar Inscreva-se, teclea tu usuario y contraseña y da clic en entrar.

3. Selecciona el idioma español.

 

 

Episodio 7: Episodio 7: Taller - Gestión de claves, contraseñas y secretos en la nubeGestión de claves, contraseñas y secretos en la nube  - 17/09

 

 

 

Este webinar presentará las sugerencias de buenas prácticas y productos para la gestión de claves, contraseñas y otros secretos a la hora de trabajar con un equipo de desarrollo de software, abordando desde soluciones indiv iduales y locales hasta la posibilidad de establecer PKI en diferentes proyectos.

 

Daniel Guedes - RNP
Daniel ha trabajado en el desarrollo de software durante 21 años. En RNP, es especialista en desarroll o de sistemas, trabaja en la estrategia de arquitectura de aplicaciones enfocada en el proceso DevSecOps de la organización y lidera proyectos de migración a la nube, desarrollo nativo de la nube y modernización heredada.

 

Fausto Filho - RNP
Tiene un MBA en Gestión de Seguridad de la Información, trabajando en el área desde 2010. Tiene amplia experiencia en investigación, desarrollo, operación de productos de seguridad y consultoría en ciber seguridad. Ex miembro del equipo de CAIS/ RNP, actualmente es responsable del desarrollo de software seguro de RNP y de las iniciativas DevSecOps.

 

Contenido - Episodio 6

El contenido de esta semana se basará en una investigación realizada inicialmente, más centrada en los entornos de AWS, que llamamos CSPM2CloudTrail. Esta investigación tiene como objetivo comprender las detecciones que proporciona Cloud Security Posture Management (CSPM), simular cómo se pueden generar a partir del análisis de dos eventos generados en CloudTrail, transformarlos en detecciones fuera de su SIEM.

Con este monitoreo más preventivo, podemos reducir en gran medida la exposición al medio ambiente, así como programar soluciones para los problemas.

 

 

Episodio 6: Oficina – Gerando segurança com eventos de log  - 27/08

 

 

 


¡En esta semana, la serie de webinars de ESR en asociación con CAIS está de vuelta!

El 6º episodio de la serie Creación y Mantenimiento de un Software Seguro será una oficina de seguridad con registro de eventos de log, presentando los riesgos introducidos en el entorno de la nube.


El webinar está programado para el próximo viernes 27 de agosto a las 10am UTC-03, con el conferencista Rodrigo Montoro de Tempest Security.
¡No te quedes por fuera!

 

Contenido - Episodio 6

El contenido de esta semana se basará en una investigación realizada inicialmente, más centrada en los entornos de AWS, que llamamos CSPM2CloudTrail. Esta investigación tiene como objetivo comprender las detecciones que proporciona Cloud Security Posture Management (CSPM), simular cómo se pueden generar a partir del análisis de dos eventos generados en CloudTrail, transformarlos en detecciones fuera de su SIEM.

Con este monitoreo más preventivo, podemos reducir en gran medida la exposición al medio ambiente, así como programar soluciones para los problemas.

 

Episodio 5: Creación de una infraestructura en la nube mínimamente segura  - 13/08

 

 


El viernes 13 de agosto tendremos otro episodio de la serie de webinars ESR en alianza con CAIS, y esta vez el evento será conducido por el conferencistas Roberto Lauretti – RNP y Marcello Zillo Neto - Microsoft.

El 5º episodio tendrá lugar el próximo 13 de agosto a las 10:00 a.m. Con el objetivo de profundizar sobre el tema iniciado en el episodio anterior a respecto del contexto de seguridad, discutiendo los componentes, particularidades, controles, cuidados y buenas prácticas a la hora de implementar una infraestructura en la nube.

¡No te quedes por fuera! Echa un vistazo a los temas que se discutirán, a continuación: 

 

Contenido - Episodio 5

- Controles de seguridad en software vs controles de seguridad en herramientas;
- Seguridad en capas;
– Particularidades de la infraestructura de red en la nube.
– Superposición de componentes: On-Prem x Cloud world;
– Seguridad por diseño y Privacidad por diseño: cómo aplicar en la práctica;
– Garantizar la privacidad a través de controles de seguridad;
– Buenas prácticas a la hora de exponer públicamente los servicios.
– Proteger su aplicación con un WAF;
- Garantizar la entrega de contenido a través de CDN;
– Trabajar con datos sensibles en reposo;
– Tráfico de datos de forma segura;
– Manipulación de claves, certificados y otros secretos; y
– Buenas prácticas para la supervisión del ambiente.

 

 

Episodio 4: Construyendo una arquitectura robusta en la nube   - 23/07

 

 

 

Regresa la serie de seminarios web de la Escuela Superior de Redes en asociación con CAIS. El cuarto episodio tendrá lugar el 23 de julio a las 08:00 AM con los ponentes Alexandre Sieira de Tenchi Security y Daniel Guedes de RNP.
 
 
El objetivo de este episodio es entender el universo de la arquitectura en la nube, pasando por los principales puntos de atención para hacer robusta esta práctica, trayendo grandes resultados a su equipo.
 

 

Tópicos:

- Seguridad y disponibilidad;
- División de roles entre los equipos del proyecto y el equipo de seguridad al promover un desarrollo seguro;
- Arquitectura Cloud x On-Prem;
- Elasticidad, provisión de recursos y costos;
- Diferentes proveedores, mismos recursos;
- Disponibilidad a través de multi-nube;
- Llevar los beneficios de la nube a su entorno local;
- Creación de una arquitectura de software concisa a través de componentes nativos;
- Creación de sus propios componentes para su arquitectura;
- Con orquestadores o sin servidor;
- Creando una infraestructura consistente con su arquitectura;
- Dónde utilizar componentes de seguridad nativos; y
- Gestionar su infraestructura a través de IaaS.
 

 

Moderadores:

 

Rodrigo Facio, RNP: Especialista en seguridad de la información en la RNP, donde trabaja en proyectos de soluciones en Seguridad de la Información y Privacidad para los clientes del sistema RNP.

 

Wendel Henrique, Pride Security. Wendel cuenta con más de 25 años de experiencia en el área de TI, y más de 18 de ellos los dedicó a la seguridad ofensiva, enfocado en la revisión de códigos, entrenamiento en desarrollo seguro, análisis forense y asesoramiento en seguridad de la información. Condujo incontables pruebas de intrusiones de red y aplicación en organizaciones a nivel mundial, incluyendo a Fortune 500, instituciones gubernamentales, de los sectores financiero, comercial y de pagos con tarjeta.

 

Desarrolló una herramienta para detectar y remover el infame virus BugBear antes que la mayoría de las compañías de antivirus mundiales, en 2002. A lo largo de su carrera, identificó vulnerabilidades en diversas tecnologías, entre ellas en servicios de webmail, wireless access points, sistemas de acceso remoto, WAFs, cámaras IP, aplicaciones VOIP, además de ser coautor de una patente (seguridad ofensiva) en Estados Unidos. Wendel hizo presentaciones en las siguientes conferencias: RSA Conference (EE. UU.), ToorCon (EE. UU.), Defcon (EE. UU.), Black Hat Arsenal (EE. UU.), OWASP AppSec Research (Suecia), Black Hat Europe (España); así como anteriormente en: Troopers (Alemania), OWASP AppSecEU09 (Polonia), YSTS 3.0 (Brasil), Defcon 16 (EE. UU.) y H2HC (Brasil).

 


Nicole Rieckmann, RNP (Moderadora). Analista de Seguridad del Centro de Atención de Incidentes de Seguridad (CAIS) desde 2019, donde trabaja en las áreas de Análisis y Operaciones de Seguridad, Gestión de Vulnerabilidades e Incidentes, además de ocuparse de organizar y participar en eventos de concientización y capacitación en SI. Graduada como Ingeniera en Computación por la UFRN (Universidad Federal del Estado de Río Grande del Norte), cuenta con posgrado en Gestión de Tecnología de la Información por la UnP. Trabajó en el PoP-RN y en la Superintendencia de Informática de la UFRN en las áreas de infraestructura, conectividad y administración de servicios y activos de red.

 

 

 

 

Episodio 3: Oficina - Contratando tu primer (o no) Pentest  - 02/07

 

 

En esta sesión contaremos con la participación de  Rodrigo Facio de RNP y Wendel Henrique de Pride Security. El evento cubrirá temas relacionados con el primer contacto con pentest y todo lo que necesitas saber antes de contratar los servicios.

 

Tópicos:

- ¿Qué investigar sobre un proveedor antes de contratar servicios?
- La importancia de la NDA.
- ¿Cómo debe ser un contrato pentest?
- ¿Cómo definir el alcance y los límites de acción?
- Alinear expectativas con el proveedor.
- Minimizar los impactos en la producción durante la ejecución de los servicios.
- Seguimiento de la ejecución de servicios.
- Validar los resultados presentados.
- Verificación de la adherencia del servicio al contrato.
- Identificación de lagunas en la evaluación.
- Obtuve resultados de un pentetest no autorizado, ¿y ahora qué?
- Validación de resultados con segunda prueba, ¿merece la pena?

 

Moderadores:

 

Rodrigo Facio, RNP: Especialista en seguridad de la información en la RNP, donde trabaja en proyectos de soluciones en Seguridad de la Información y Privacidad para los clientes del sistema RNP.

 

Wendel Henrique, Pride Security. Wendel cuenta con más de 25 años de experiencia en el área de TI, y más de 18 de ellos los dedicó a la seguridad ofensiva, enfocado en la revisión de códigos, entrenamiento en desarrollo seguro, análisis forense y asesoramiento en seguridad de la información. Condujo incontables pruebas de intrusiones de red y aplicación en organizaciones a nivel mundial, incluyendo a Fortune 500, instituciones gubernamentales, de los sectores financiero, comercial y de pagos con tarjeta.

 

Desarrolló una herramienta para detectar y remover el infame virus BugBear antes que la mayoría de las compañías de antivirus mundiales, en 2002. A lo largo de su carrera, identificó vulnerabilidades en diversas tecnologías, entre ellas en servicios de webmail, wireless access points, sistemas de acceso remoto, WAFs, cámaras IP, aplicaciones VOIP, además de ser coautor de una patente (seguridad ofensiva) en Estados Unidos. Wendel hizo presentaciones en las siguientes conferencias: RSA Conference (EE. UU.), ToorCon (EE. UU.), Defcon (EE. UU.), Black Hat Arsenal (EE. UU.), OWASP AppSec Research (Suecia), Black Hat Europe (España); así como anteriormente en: Troopers (Alemania), OWASP AppSecEU09 (Polonia), YSTS 3.0 (Brasil), Defcon 16 (EE. UU.) y H2HC (Brasil).

 


Nicole Rieckmann, RNP (Moderadora). Analista de Seguridad del Centro de Atención de Incidentes de Seguridad (CAIS) desde 2019, donde trabaja en las áreas de Análisis y Operaciones de Seguridad, Gestión de Vulnerabilidades e Incidentes, además de ocuparse de organizar y participar en eventos de concientización y capacitación en SI. Graduada como Ingeniera en Computación por la UFRN (Universidad Federal del Estado de Río Grande del Norte), cuenta con posgrado en Gestión de Tecnología de la Información por la UnP. Trabajó en el PoP-RN y en la Superintendencia de Informática de la UFRN en las áreas de infraestructura, conectividad y administración de servicios y activos de red.

 

 

 

Episodio 2: Oficina - Chat - Pentest y la acumulación de desarrollo - 11/06

 

 

Será una charla con Fernando Amatte, director de inteligencia cibernética y RedTeam de Cipher, y Fausto Filho, del Centro de Asistencia a Incidentes de Seguridad - CAIS / RNP. El evento abordará los beneficios de una prueba de aplicación realizada en un producto funcional listo para usar, y discutirá cómo los resultados se pueden convertir en una acumulación de desarrollo para mejorar los controles de seguridad del producto.

 

 

Qué es Red Team;
- ¿Qué es una aplicación pentest?
- En qué se diferencia un pentest de aplicación de un pentest de infraestructura;
- Tipos de pentests y calidad de los resultados de cada uno;
- Cómo prepararse para un pentest;
- Definición de alcance, ventana de operación y condiciones de ejecución;
- Interpretar los resultados de un informe pentest;
- Solucionar problemas;
- Identificación de nuevos controles;
- Implementar controles en productos existentes sin comprometer el producto;
- Validación de efectividad; y
- Gestión de la acumulación de seguridad.

 

 

Episodio 1: Oficina - Práticas de Análise Estática de Código - 28/05

 

- Presentación del concepto de análisis de código estático;

- Presentación de herramientas de código abierto;

- Sugerencias de configuración y personalización;

- Demostración del funcionamiento del análisis estático;

- Interpretación de resultados y corrección de errores;

- Identificación de falsos positivos;

- Comprender la importancia de las alertas con respecto al alcance de su producto;

- Sugerencia de integración en canalizaciones automáticas; y

- Discusión sobre costos de problemas de seguridad en proyectos de software.

 

 

 

 

Próximos episodios:

Episodio 1: Oficina - Práticas de Análise Estática de Código - 28/05

Episodio 2:  Chat - Pentest y la acumulación de desarrollo - 11/06

Episodio 3: Contratando tu primer (o no) Pentest - 7/2

Episodio 4: Workshop - Generación de seguridad con eventos de registro - 07/09

Episodio 5: Construyendo una arquitectura de nube robusta - 23/07

Episodio 6: Creación de una infraestructura en la nube mínimamente segura - 13/08

Episodio 7: Taller: Gestión de claves, contraseñas y secretos en la nube - 27/08

 

 

Cómo participar

1.  Registrarte dando clic aquí
2. El día del 28 de mayo a las 08:00 AM ingresar dando clic aquí y seleccionar Inscreva-se, teclea tu usuario y contraseña y da clic en entrar.
3. Selecciona el idioma español.